Obwohl man schon vor 23 Tagen einen Bugfix veröffentlicht hat, haben die wenigsten Betreiber die Software ihrer Plex Media Server upgedated.
Die kritische Sicherheitslücke CVE-2025-34158 bei den Plex Media Servern taucht schon vor mehreren Wochen auf. Die Schwachstelle betrifft die Software-Versionen 1.41.7.x bis hoch zu Version 1.42.0.x. Vor über drei Wochen erfolge mit Version 1.42.1 bereits das Sicherheitsupdate, das die Plex Inc. im eigenen Forum angekündigt hat.
Ein Großteil der Plex Media Server sind unsicher
Das Problem: Obwohl die Sicherheitslücke beim CVSS-Score den höchst möglichen Bedrohungsgrad verliehen bekam, hat bisher nur rund ein Viertel der Betreiber ihre Software einem Update unterzogen. In der Folge können Cyberkriminelle auch ohne gültige Zugangsdaten bei mehr als 300.000 Plex-Servern remote Daten verändern, löschen oder sogar den kompletten Server kaputt machen. Weltweit nutzt man die populäre Software über 35 Millionen Mal, weswegen die anhaltende Sicherheitsproblematik umso dramatischer erscheint.
Doch von der Sicherheitslücke ist womöglich nicht nur der jeweilige Server selbst betroffen. Vor drei Jahren gelang es Unbekannten, eine bereits seit drei Jahren behobene Server-Schwachstelle auszunutzen, um Malware auf dem PC eines LastPass-Mitarbeiters zu installieren. Die Infektion führte später zu einem umfangreichen Datendiebstahl bei LastPass im August 2022, die ohne Plex nicht denkbar gewesen wäre. Der Grund für die Übernahme des Plex-Servers bestand darin, dass der Administrator schlichtweg über drei Jahre hinweg keine Updates mehr eingespielt hat. Der oder die Hacker hatten somit leichtes Spiel.
Admins erhielten Erinnerung an das Einspielen der neuen Version
Die technischen Details des aktuellen Bugs hat man noch nicht öffentlich gemacht. Da aber mangels Update noch immer so viele Server anfällig sind, dürfte ein Proof-of-Concept nur noch eine Frage der Zeit sein. Anschließend wird es wohl zahlreiche Nachahmer geben, die sich ebenfalls auf die Suche nach einem hackbaren Medien-Server machen. Die Plex-Admins hat die Betreibergesellschaft vor wenigen Tagen per E-Mail kontaktiert, um sie an das Update zu erinnern. Ob das helfen wird die Anzahl der gefixten Server zu erhöhen, bleibt allerdings kritisch abzuwarten.
Sicherheitsexperten raten dazu, ausschließlich lokal genutzte Plex Media Server komplett vom Internet zu trennen. Nur so kann man dafür sorgen, dass niemand von außen darauf zugreifen kann.
Wechsel zu einer anderen Software-Lösung?
Alternativ könnte man auch die Server-Software austauschen. Jellyfin ist komplett Open‑Source. Man kann die Software ohne Abo, also kostenlos installieren und einsetzen. Auch geht die Entwickler-Community von Jellyfin nicht gegen das Abspielen von schwarzkopierten Medien vor. Trotzdem hat man auch hier Zugriff auf zahlreiche Community-Plugins und individuelle Skins/Themes, die man ebenfalls kostenlos nutzen kann. Klar wäre die Umstellung für den Admin mit einem gewissen Aufwand verbunden. Die Nutzer werden sich aber schon nach kurzer Zeit wie zuhause fühlen. Der Umstieg von Plex auf Jellyin fällt nämlich kaum ins Gewicht.
Wir wissen, dass viele unserer Leserinnen und Leser einen eigenen Plex Media Server betreiben. Habt ihr die Software schon aktualisiert oder wart ihr bis jetzt zu faul? Habt ihr schon einmal eine Alternative wie Emby, Jellyfin, Kodi oder den Universal Media Server ins Auge gefasst? Wart ihr schon einmal von einem Hack eures Servers betroffen oder habt ihn bei Freunden erlebt? Schreibt uns dazu bitte einen Kommentar in unser Forum, vielen Dank!
